История изменений
Исправление micronekodesu, (текущая версия) :
что старый софт с обновлениями безопасности в плане безопасности не хуже софта в апстриме
С одной стороны - да, но с другой - старый софт меньше используется и контролируется - больше вероятность обнаружения дыры (и последующего ее устранения) в новом софте, чем в старом. Это для сравнения "дыр" разных версий.
Скорее всего не понятно написал, так что постараюсь объяснить свою мысль - есть софт версии 1 с функцией foo() (он у нас в stable) и версии 2, в которой foo() заменили на bar(). Функции просто делают одно и то же, но код там абсолютно разный. И в обоих функциях есть дыры (сейчас не важно какие). В bar() дыру могут найти в рамках изучения кода в апстриме, тестирования, использования приложения в конце концов. В foo() особо никто смотреть не будет, потому что в апстриме ее нет, версия приложения старая, а значит и нет смысла тратить на все это дело свое время. Но дыру в foo() может найти какой-нибудь злоумышленник и начать ее эксплуатировать. Понятно что рано или поздно это всплывет, но многие системы могут пострадать, по-этому софт таки советуют обновлять. Исправить дыру в foo() тоже может быть не просто - разработчики эту функцию уже не поддерживают, и возможна ситуация когда для исправления уязвимости потребуется очень много усилий. В таком случае либо ее как-то закостылят, либо будут заменять на bar() из апстрима, а это может притащить за собой еще кучу правок во всем проекте.
Как быть в этом случае - не думаю что есть однозначный ответ на этот вопрос.
Исходная версия micronekodesu, :
что старый софт с обновлениями безопасности в плане безопасности не хуже софта в апстриме
С одной стороны - да, но с другой - старый софт меньше используется и контролируется - больше вероятность обнаружения дыры (и последующего ее устранения) в новом софте, чем в старом. Это для сравнения "дыр" разных версий.
Скорее всего не понятно написал, так что постараюсь объяснить свою мысль - есть софт версии 1 с функцией foo() (он у нас в stable) и версии 2, в которой foo() заменили на bar(). Функции просто делают одно и то же, но код там абсолютно разный. И в обоих функциях есть дыры (сейчас не важно какие). В bar() дыру могут найти в рамках изучения кода в апстриме, тестирования, использования приложения в конце концов. В foo() особо никто смотреть не будет, потому что в апстриме ее нет, версия приложения старая, а значит и нет смысла тратить на все это дело свое время. Но дыру в foo() может найти какой-нибудь злоумышленник и начать ее эксплуатировать. Понятно что рано или поздно это всплывет, но многие системы могут пострадать, по-этому софт таки советуют обновлять. Исправить дыру в foo() тоже может быть не просто - разработчики эту функцию уже не поддерживают, и возможна ситуация когда для исправления уязвимости потребуется очень много усилий. В таком случае либо ее как-то закостылят, либо будут заменять на bar() из апстрима, а это может притащить за собой еще кучу правок во всем проекте.
Как быть в этом случае - не думаю что есть абсолютный ответ на этот вопрос.